건강검진, 질병관리청 사칭 스미싱 악성 앱 Spyware.Android.Agent 분석

 

 

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.

 

연일 증가하는 확진자로 4차 팬데믹 우려가 커지고 있습니다. 이런 와중에 스미싱 공격자들은 건강검진을 키워드로 하는 스미싱 공격을 확대하고 있기에 스마트폰 보안에 각별한 유의가 필요하겠습니다.

 

건강검진을 키워드로 하는 스미싱 공격은 작년 7월부터 발견되기 시작했으며 코로나 상황에 따라 공격이 증감되는 양상을 보이고 있습니다. 그리고 최근에는 심각한 코로나 국면을 이용하는 스미싱 공격도 발견되고 있습니다. 

코로나를 키워드로 활용하고 있는 스미싱 공격은 질병관리청을 사칭하고 있지만 공격 루틴은 건강검진 스미싱과 동일합니다.

 

심각한 코로나 상황에 발맞추어 공격이 증가하고 있는 건강검진 스미싱을 살펴보도록 하겠습니다.

 

 

개요

 

건강검진 스미싱은 코로나 발생 이후로 꾸준히 발견되고 있는 스미싱 공격입니다.

다음은 최근 2개월 내에 발견된 건강검진 스미싱 문자들입니다.

 

 

건강검진 스미싱 문자

＜국민건강검진＞통지서 검사내용확인:xxxx.xxxx[.]life

[Web발신][건강검진]건강검진 내용은 다음과 같습니다.hxxp://click[.]gl/xxxxxx

[한국의료재단 IFC종합검진센터]진단서 내용확인:xxxx.xxxx[.]show

[Web발신][공단검진]건강검사 내용보기:xxxx.xxxx[.]world

[Web발신][건강검진]신체.검사 내용확인:xxxx.xxxx[.]sale

[건강관리협회]건강검진 내용보기:xxxx.xxxx[.]space

[Web발신][건강관리협회]건강검진 내용보기:xxxx.xxxx[.]space

[Web발신][질병관리청]코로나19 전자예방접종증명서 본인확인 hxxps://ko[.]gl/xxxx

[Web발신] [질병관리청 COOV]안녕하세요..코로나19 백신 예약 확인요청 hxxps://ko[.]gl/xxxx

[표1] 건강검진 스미싱 문자들

 

 

위 표를 살펴보면 사칭하는 기관과 주요 단어가 조금씩 변하고 있다는 것을 알 수 있습니다. 이로 미루어 공격자들이 국내 코로나 상황에 맞추어 스미싱 문자의 내용을 적절하게 수정하고 있는 것으로 추측할 수 있습니다.

 

[그림1] 건강검진 스미싱 문자

 

이런 스미싱 문자를 수신한 피해자가 링크를 클릭하면 다음 그림과 같은 랜딩 페이지로 접속하게 됩니다.

 

 

[그림2] 랜딩 페이지

 

 

랜딩 페이지는 건강검진 정보를 조회하는 페이지로 꾸며져 있습니다. 그러나 이는 피해자를 기만하기 위한 것으로 정보 조회 페이지를 피해자가 신뢰하도록 꾸민 것으로 판단됩니다.

 

피해자가 전화번호를 입력한 후 조회 버튼을 클릭하면 피해자의 이름과 주민번호 앞 6자리를 요구하는 페이지로 이동하게 됩니다.

 

 

[그림3] 피해자 개인정보 입력 페이지

 

개인정보 입력하면 다음은 악성 앱을 다운로드하는 페이지로 이동합니다.

 

 

[그림4] 악성 앱 다운로드 페이지

 

다운로드한 악성 앱 설치 시 다음과 같이 "건강검진모아" 또는 "질병관리청 COOV"라는 문구를 설치 화면에서 확인할 수 있습니다.

 

 

[그림5] 악성 앱 설치 화면

 

그러나 당연하게도 이 앱들은 건강검진 기관이나 질병관리청과는 아무런 관련이 없습니다. 

악성 앱을 다운로드 후 설치하면 다음 그림과 같이 피해자의 신분증과 개인정보 탈취를 시도하는 화면들이 나타납니다.

 

 

[그림6] 개인정보 탈취 화면

 

탈취를 시도하는 개인정보는 신분증과 금융 정보(계좌번호, 계좌 비밀번호, 인증서 비밀번호)입니다. 이로 미루어 건강검진 스미싱 악성 앱의 목표는 피해자의 금전 갈취임을 알 수 있습니다.

 

 

[그림7] ARS 화면

 

개인정보 탈취가 완료되면 ARS 화면이 노출됩니다. 화면 상의 안내는 ARS 인증 후 검진 문의를 하는 형식이지만 인증이 확인 중이라는 메시지만 노출 후 반응이 없습니다. 즉, 공격이 완료된 것입니다.

 

 

코드 분석

 

이어서 설치되는 악성 앱의 코드를 살펴보도록 하겠습니다. 악성 앱의 주요 악성 행위는 다음과 같습니다.

[악성 행위]
- 전화번호 탈취
- 연락처 탈취
- SMS 탈취
- 위치정보 탈취
- 금융정보 탈취
- 신분증 탈취

 

다음 그림은 전화번호 탈취 코드를 보여주고 있습니다.

 

 

[그림8] 전화번호 탈취 코드

 

 

다음 그림은 연락처 탈취 코드를 보여주고 있습니다.

 

 

[그림9] 연락처 탈취 코드

 

 

다음은 SMS 탈취 코드를 보여주고 있습니다.

 

 

[그림10] SMS 탈취 코드

 

 

다음은 위치 정보를 탈취하는 코드를 보여주고 있습니다.

 

 

[그림11] 위치 정보 탈취 코드

 

 

다음 그림은 피해자의 금융 정보를 탈취하는 코드의 일부입니다.

 

 

[그림12] 금융 정보 탈취 코드

 

 

다음 그림은 피해자의 신분증을 탈취하는 코드의 일부입니다.

 

 

[그림13] 신분증 탈취 코드

 

 

결론

 

건강검진 스미싱 공격의 빈도는 택배 스미싱에 비해 낮지만 코로나 발생 이후 꾸준히 발견되고 있는 스미싱 공격입니다. 이 스미싱 공격은 코로나 국면으로 사람들이 건강에 관심이 많아진 점을 노린 것으로 추측할 수 있습니다.

위 분석글에서도 보셨듯이 공격자들의 최종 목표는 피해자들의 금전을 갈취하는 것입니다. 

이런 스미싱 공격은 사용자의 예방 노력이 무엇보다 중요합니다. 링크 등을 통한 앱 설치 시 본인의 스마트폰이 위협에 노출될 수 있음을 인지하고 주의를 기울여야 하며 알약M과 같은 신뢰할 수 있는 백신을 사용하여야 하겠습니다.

다음은 악성 앱 공격의 예방 및 대응 방법입니다.

- 악성 앱 예방
1) 출처가 불분명한 앱은 설치하지 않습니다.
2) 구글 플레이 스토어 같은 공식 사이트에서만 앱을 설치합니다.
3) SMS나 메일 등으로 보내는 앱은 설치하지 않습니다.

- 악성 앱 감염 시 대응
1) 악성 앱을 다운로드만 하였을 경우 파일 삭제 후 신뢰할 수 있는 백신 앱으로 검사 수행.
2) 악성 앱을 설치하였을 경우 신뢰할 수 있는 백신 앱으로 검사 및 악성 앱 삭제. 
3) 백신 앱이 악성 앱을 탐지하지 못했을 경우 
    A. 백신 앱의 신고하기 기능을 사용하여 신고.
    B. 수동으로 악성 앱 삭제

 

 

[그림14] 탐지화면

 

현재 알약 M에서는 해당 악성 앱을 'Spyware.Android.Agent' 탐지 명으로 진단하고 있습니다.